数字证书签名,Lets Encrypt和数字证书安全( 三 ) _云知道

之后Eve使用新帐户和新的RSA公钥签署了Let\'s Encrypt ，并请求恢复example-com域
Let\'s Encrypt要求Eve签发一些新数据，并将其上传到example-com/.well-known/acme-challenge/some_file 。
Eve制作了一个新的假冒密钥对，并在Let\'s Encrypt上更新了其公共密钥。然后，她要求Let\'s Encrypt以检查签名。
Let\'s Encrypt从example-com获取签名文件，签名匹配，于是Eve被授予example-com域所有权。
攻击的图示如下：

在上述攻击中， Eve设法创建了一个有效的公钥，该公钥验证了给定的签名和消息。数字签名不能唯一地标识密钥或消息
根据RSA的工作原理（这是现代证书交换链的基础）：

对于固定签名signature和（PKCS＃1 v1.5）消息message ，公钥（e ， N）必须满足以下方程式以验证签名：
signature=message^e(modN)
一个人可以很容易地制作一个（大部分时间）满足以下等式的公钥：
e=1N=signaturemessage可以轻松验证验证是否有效：
signature=message(modsignaturemessage)
signaturemessage=0(modsignaturemessage)
根据定义，最后一行是正确的。
数字签名的安全性
由于理论领域与应用领域之间安全性证明与已实施协议之间存在差距。密码学中的签名通常使用EUF-CMA模型进行分析，该模型代表自适应选择消息攻击下的存在不可伪造性。
通过模型中，生成了一个密钥对，然后要求签署一些任意消息。在观察签署的签名时，如果可以在某个时间点对未请求的消息产生有效的签名，将获胜。
不幸的是，尽管现代签名方案似乎通过了EUF-CMA测试，但它们往往表现出一些令人惊讶的特性。论文《Automated Analysis of Subtle Attacks on Protocols that Use Signatures》中Dennis Jackson ， Cas Cremers ， Katriel Cohn-Gordon和Ralf Sasse试图对使用签名的协议进行细微的攻击的自动化分析，试图列出这些令人惊讶的特性以及受它们影响的签名方案（然后找到一堆）在使用正式验证的协议。

保守的排他性(CEO)/破坏性的排他性(DEO)：
密钥替换攻击（CEO），其中使用不同的密钥对或公钥来验证给定消息上的给定签名。
消息密钥替换攻击（DEO），其中使用不同的密钥对或公共密钥来验证新消息上的给定签名。
可延展性。大多数签名方案都是可塑的，这意味着如果给出一个有效的签名，就可以对其进行篡改，以使其成为一个不同但仍然有效的签名。请注意，如果我是签名人，通常可以为同一条消息创建不同的签名。不清楚这是否会对任何现实世界的协议产生影响，尽管比特币MtGox交易所将其资金损失归咎于该协议， 2014年2月，曾经是最大的比特币交易所MtGox关闭并申请破产，声称攻击者利用可塑性攻击来耗尽其帐户。
请注意，一种新的安全模型SUF-CMA（用于强EUF-CMA）试图将这种行为包含在签名方案的安全定义中，并且一些最新标准（如RFC 8032指定Ed25519）正在缓解对其签名方案的延展性攻击。。
可重新签名。这很容易解释。要验证消息上的签名，通常不需要消息本身，但需要摘要。这样，任何人都可以使用自己的密钥重新签名消息，而无需知道消息本身